CrowdStrike z maksymalną liczbą punktów w najbardziej wymagającej jak dotąd ocenie przeprowadzonej przez MITRE ATT&CK® Enterprise

W ramach tegorocznej ewaluacji MITRE ATT&CK® Enterprise platforma CrowdStrike Falcon® uzyskała następujące rezultaty:

• 100% wykrycia (Detection) – zidentyfikowano wszystkie zaprezentowane techniki ataku,
• 100% ochrony (Protection) – każde złośliwe działanie zostało skutecznie zablokowane,
• 0 fałszywych alarmów (False Positives) – żadne z wygenerowanych alertów nie dotyczyło prawidłowej, dozwolonej aktywności,
• 100% szczegółowości na poziomie technik – każde wykrycie obejmowało pełny kontekst zdarzenia, w tym informacje „kto, co, kiedy, gdzie, jak i dlaczego”.

Na szczególne podkreślenie zasługuje fakt, że tegoroczna edycja była pierwszą w pełni platformową ewaluacją MITRE, obejmującą spójne testy w obszarze endpointu, tożsamości oraz chmury. CrowdStrike Falcon przeszedł ten sprawdzian bez kompromisów, potwierdzając dojrzałość architektury opartej na chmurze i zaawansowanej sztucznej inteligencji.

Jednym z kluczowych wniosków z ewaluacji 2025 jest rosnące znaczenie technik określanych jako living-off-the-land (LOTL). Zamiast wykorzystywać niestandardowe złośliwe oprogramowanie, napastnicy coraz częściej posługują się rozwiązaniami klasy RMM (Remote Monitoring and Management), nadużywają wbudowanych narzędzi administracyjnych i systemowych lub maskują swoją aktywność wśród codziennych działań zespołów IT.

W takim scenariuszu tradycyjne, sygnaturowe mechanizmy ochrony okazują się niewystarczające. CrowdStrike odpowiada na tę zmianę wielowarstwową analizą zachowania:

• behawioralne wskaźniki ataku wykrywają nieprawidłowe użycie legalnych narzędzi,
• CrowdStrike Falcon® Exposure Management zapewnia wgląd w to, jakie aplikacje są zainstalowane i w jaki sposób są wykorzystywane,
• funkcja APEX (Anomalous Process Execution) wykorzystuje uczenie maszynowe do identyfikowania anomalii w poleceniach, parametrach oraz relacjach pomiędzy procesami.

Dzięki temu organizacja może skutecznie odróżnić prawidłową pracę administratora od działań przeciwnika próbującego pozostać niewidocznym. 

Środowiska chmurowe stały się naturalnym celem ataków. Wyniki ewaluacji MITRE 2025 udowadniają, że adwersarze:

• wykorzystują prawidłowe konta oraz role chmurowe,
• nadużywają interfejsów API dostawców chmury,
• modyfikują konfiguracje sieciowe i uprawnienia,
• łączą wiele taktyk, od Initial Access, przez Credential Access, aż po Defense Evasion.

W odpowiedzi na te wyzwania CrowdStrike Falcon® Cloud Security zapewnia:

• monitorowanie zdarzeń w cloud control plane w czasie rzeczywistym,
• mechanizmy blokowania zarówno na poziomie workloadów, jak i konfiguracji chmurowych,
• wsparcie analityków dzięki możliwościom Charlotte AI™, które porządkują i interpretują ogromne wolumeny danych telemetrycznych.

W praktyce umożliwia to zatrzymanie ataku na etapie jego realizacji, zanim dojdzie do naruszenia danych lub dalszego ruchu lateralnego w środowisku.

Coraz więcej współczesnych ataków rozpoczyna się od poprawnego, pozornie wiarygodnego logowania. Jak wskazują wyniki MITRE, adwersarze przechwytują tokeny MFA i aktywne sesje, dodają alternatywne metody uwierzytelniania, zakładają nowe konta z podwyższonymi uprawnieniami lub przemieszczają się pomiędzy systemami, imitując zachowania zwykłych użytkowników.

CrowdStrike Falcon® Next-Gen Identity Security adresuje te ryzyka poprzez:

• ciągłe monitorowanie zachowań związanych z uwierzytelnianiem,
• wykrywanie subtelnych odchyleń, takich jak nietypowa lokalizacja logowania, zmiana schematu MFA czy nagłe rozszerzenie uprawnień,
• automatyczne przerywanie podejrzanych sesji, blokowanie kompromitowanych kont oraz izolowanie zagrożonych hostów.

Ścisła integracja z ochroną endpointów sprawia, że każda próba nadużycia tożsamości jest natychmiast widoczna w szerszym kontekście urządzenia, użytkownika i aktywności sieciowej.

Współczesne kampanie cyberataków rzadko ograniczają się do jednego obszaru. Ten sam incydent może rozpocząć się od wykorzystania błędnej konfiguracji w chmurze, następnie obejmować przejęcie tożsamości pracownika, a finalnie zakończyć się wdrożeniem ransomware na stacjach roboczych. MITRE 2025 potwierdza, że skuteczna obrona przed tak złożonym scenariuszem wymaga zunifikowanej platformy bezpieczeństwa.

CrowdStrike Falcon:

• konsoliduje dane telemetryczne z endpointów, systemów tożsamości oraz środowisk chmurowych,
• koreluje z pozoru niezależne zdarzenia w jeden, przejrzysty łańcuch ataku,
• prezentuje analitykowi pełną historię incydentu w jednym, spójnym widoku.

Dodatkowo CrowdStrike Falcon® Fusion SOAR umożliwia automatyczne izolowanie zainfekowanych hostów, blokowanie złośliwych kont i połączeń oraz uruchamianie zdefiniowanych runbooków reakcji jednocześnie w wielu domenach.

W rezultacie czas od wykrycia do podjęcia skutecznych działań liczony jest w sekundach, a nie w godzinach, co istotnie zwiększa szanse organizacji na ograniczenie skali incydentu.

Wnioski płynące z ewaluacji MITRE ATT&CK Enterprise 2025 są jednoznaczne i mają bezpośrednie przełożenie na sposób budowania strategii cyberbezpieczeństwa w organizacjach:

• powierzchnia ataku nieustannie się rozszerza, obejmując zarówno środowiska lokalne, chmurowe, jak i hybrydowe,
• granice między endpointem, chmurą a tożsamością ulegają zatarciu, co sprzyja złożonym, wieloetapowym atakom,
• tradycyjne, punktowe rozwiązania bezpieczeństwa przestają wystarczać, ponieważ nie są w stanie zapewnić spójnej, kompleksowej ochrony w tak dynamicznym środowisku.

Jako dystrybutor rozwiązań CrowdStrike wspieramy organizacje w przejściu od rozproszonych, nieskoordynowanych narzędzi bezpieczeństwa do zunifikowanej platformy opartej na CrowdStrike Falcon®, która odpowiada na te wyzwania w sposób spójny, skalowalny i potwierdzony niezależnymi ewaluacjami MITRE. Skontaktuj się z nami po więcej informacji, chętnie odpowiemy na wszystkie pytania ➡️ Kontakt

A jeżeli chcesz mieć dostęp do pełnej treści e-booka „MITRE ATT&CK Evaluations: Enterprise 2025” od CrowdStrike, skontaktuj się z nami ➡️ [email protected]